Bezpečnost v síti (4.díl), síťové útoky

Napsal O webu (») 29. 4. 2009 v kategorii PC sítě, přečteno: 5368×
obrazky/Caution.jpgPřesměrování portů

Typ útoku, který zneužívá důvěryhodných hostů k přenosu provozu skrze firewall, který by jinak byl blokován. Představme si firewall se třemi porty a hosty na každém z nich. Host venku může dosáhnout na hosta ve veřejném segmentu sítě, ale ne na hosta uvnitř sítě. Veřejně dostupný segment sítě je nazýván DMZ demilitarizovaná zóna. Host v DMZ může dosáhnout obou hostů. Pokud by byl útočník schopen ovládnout hosta v DMZ, může na něm nainstalovat software k přesměrování provozu z venčí přímo na hosta uvnitř sítě. Ačkoliv žádná komunikace neporušuje pravidla daná firewallem, host venku může dosáhnout spojení dovnitř sítě skrz přesměrování portů.

Příkladem programu je netcat.

Přesměrování portů může být zmírněno primárně použitím správného důvěryhodných modelů, kterými je síť specifikována (VLANy apod.) Pokud je systém pod útokem, a host-based intrusion system (HIDS) může pomoci detekovat útočníka a předcházet instalaci utilit na hosta v DMZ.










Man-in-the-Middle útok

Útok je prováděn útočníkem, který zaujal svou pozici mezi dvěma uživateli. Útočník může povolit normální komunikaci mezi uživateli a pouze občas změnit konverzaci mezi nimi. Existuje mnoho způsobů, jak zaujmout pozici mezi uživateli.



Jedním příkladem je proxy útok. Útočník může chytit oběť použitím phising emailu nebo přesměrováním stránek. Jako stránku web serveru použije svou IP adresu a předsune ji před adresu serveru např. http:www.utocnik.com/http://www.adresaserveru.com.

Pokud uživatel vyšle žádost na web server, dostane se na počítač útočníka. Útočník příjme požadavek a vrátí uživateli podobnou stránku originálu, jen trošku změněnou.




Dalším druhem je MITM útoku jsou potencionálně více škodlivé. Pokud se útočník rozhodne dostat na strategická místa, může tak ukrást informace, svézt se na odchozí relaci, aby získal přístup k privátním zdrojům, provede DoS útok, zničí přenesená data nebo přidá další informace do relace.



WAN MITM útoky mohou být zmírněny používáním VPN tunelů, které umožní útočníkovi vidět pouze šifrovaný text

LAN MITM útoky používají nástroje jako ettercap nebo ARP poisoning. Většina útoků jde zmírnit konfigurací zabezpečení portů na LAN switchích.



DoS útoky (odmítnutí služby)



DoS útoky jsou nejveřejnější forma útoku a také je velmi obtížné jej eliminovat. Dokonce uvnitř komunity útočníků jsou považovány jako triviální, protože požadují velmi málo úsilí k uskutečnění. Ale protože jsou lehce implementovány a jsou potencionálně značně nebezpečné, administrátoři jim věnují potřebnou pozornost. Existuje celá řada forem. Cílem útoků je zahlcení systémových prostředků stroje cílového útoku.

Příklady:




Ping of death – stal se populárním v devadesátých letech minulého století, využívá slabin starších operačních systémů. Útok změnil IP část hlavičky ping paketu aby indikoval, že v paketu je více dat, než aktuálně bylo. Velikost pingu je obvykle 64 nebo 84 bytů, zatímco ping of death mohl mít až 65536 bytů. Poslání pingu takové velikosti mohlo zničit konektivitu starších cílových počítačů. Většina sítí už je odolná proti tomuto typu útoku.



SYN flood attack – zneužívá TCP tree-way handshake. Posílá hromadu SYN požadavků (1000+) na cílový server. Server odpovídá obvyklým SYN-ACK, ale lstivý útočník nikdy neodpoví konečným ACK k úspěšnému ukončení handshake. To zaměstná server, dokud mu nedojdou systémové prostředky a nemůže odpovídat běžným požadavkům.



Email bombs – Program posílá obrovské množství emailů jedincům, seznamům nebo doménám, čímž zahltí emailové služby.



Malicious applety – Tyto útoky jsou programy v javě, javascriptu nebo activeX, které způsobují destrukci nebo zahlcení systémových prostředků počítače.




DDoS útoky







Distribuované DoS útoky jsou navrženy k zahlcení linky klamavými daty. Data mohou zaplavit internetovou linku a způsobují že legitimní provoz je zahozen. DdoS používá stejnou metodu jako DoS, ale ve větším měřítku, typicky stovky až tisíce bodů (zombie PC) se pokouší zahltit cíl.



Smurf útok – používá broadcast zprávu k zaplavení cílového systému. Začne to tím, že útočník pošle velké množství ICMP žádostí na broadcast adresu sítě z validní podvržené zdrojové IP adresy. Směrovač uskuteční broadcast funkci a většina hostů odpoví ICMP echo reply, násobného provozem počtu hostů, kteří jsou aktivní. Ve vícepřístupové broadcastové síti může být až stovky strojů odpovídajících na každý echo paket.

Vypnutí možnosti přímého broadcastování v síťové infrastruktuře zabrání sítí, aby byla použita jako cílová síť útoku.


Díle implementace speciálního anti-spoof a anti DoS kontrolních access listů pomáhá v prevenci.

ISP může také implementovat omezení rychlosti provozu nebo omezení ICMP provozu.





Škodolibé útoky na kód (Malicious Code Attacks)



primárními hrozbami pro konečného uživatele jsou červi, viry a trojské koně.



Červ vykoná kód a nainstaluje svou kopii do paměti napadnutého počítače, který dokáže infikovat ostatní uživatele.




Virus je záludný software, který působí na ostatní programy za účelem spuštění nechtěných funkcí v počítači.



Trojský kůň se liší od předchozích pouze v tom, že aplikace byla napsána, aby vypadala jako něco jiného, ale ve skutečnosti je to útoční nástroj.



Červ

anatomie útoku červa je následující:

• Červ nainstaluje sám sebe využitím známe slabiny v systému, jako třeba naivní koncový uživatel otevírající neověřené přílohy mailu

• Poté co se dostane do počítače, nakopíruje sám sebe do svého i do ostatních počítačů.


• Jakmile je uživatel infikován červem, útočník získá přístup do systému jako privilegovaný uživatel.



Červi jsou typicky samorozbalovací programy které napadají systém a snaží se odhalit slabiny v systému. Poté, co ji najde, nakopíruje se do cílového a ostatních počítačů a umožňuje přístup do systému jako privilegovaný uživatel.

Prevence vyžaduje pečlivost na straně správců systému. Spolupráce mezi systémovými administrátory, síťovými inženýry a uživateli je kritická v případě reakce na napadení červem.



Viry a trojské koně








Virus je škodlivý software, který je připojen k jinému programu, který spustí nechtěné funkce v Počítači..

Trojský kůň je rozdílný pouze v tom, že je napsán jako aplikace, které se jeví jako něco jiného, ve skutečnosti je to nástroj útoku.



Např. hra, která po spuštění pošle hromadu mailů na všechny kontakty v adresáři. Hra je většinou hratelná.

Virus obvykle vyžaduje doručení v podobě .zip nebo .exe souboru, takže ke spuštění je třeba lidského zásahu, spuštění.

K prevenci se doporučuje používat nejnovější databázi v antivirovém programu. Příkladem trojského koně je Sub7, který instaluje zadní vrátka v systému, což využijí další útoky.



Autor: Martin Mikulec
Facebook Twitter Topčlánky.cz Linkuj.cz

Komentáře

Zobrazit: standardní | od aktivních | poslední příspěvky | všechno
Ondřej Starosta z IP 213.226.251.*** | 9.3.2015 14:51
Ahojte klucii :* Chtěl jsem se zeptat jestli mi někdo nezašifruje můj ass smile
Mimochodem chci jasnou a diskrétní odpověď :* smile nejlépe 40-50 muž.. uvítám každého gentlemana :* :* smile
Ondřej Starosta z IP 213.226.251.*** | 9.3.2015 14:51
Ahojte klucíí smile :* :* potřeboval bych pomoci jak zašifrovat můj ASS smile :* poradínká mi tady někdo? smile :* moc bych byl rád smile službičky mile odměním smile smile :* jsem gay smile ale to snad nevadínká smile :*


Nový komentář

Téma:
Jméno:
Notif. e-mail *:
Komentář:
  [b] [obr]
Odpovězte prosím číslicemi: Součet čísel tři a jedenáct